Bittrex, objetivo de la última demanda por hackeo de tarjetas SIM de Cripto de $1 millón

La empresa de intercambio de Cripto Bittrex está siendo demandada por un intercambio de SIM que les permitió a los delincuentes obtener 100 Bitcoin, que actualmente valen casi 1 millón de dólares.

El caso se parece a otros robos recientes de alto perfil en los que un pirata informático toma el control del teléfono celular de una víctima para luego saquear cuentas de Cripto en línea: el intercambio fue del operador celular AT&T, el dinero se tomó de Bittrex y el ataque tomó el control de la identidad en línea de la víctima.

Sin embargo, el ataque contra el inversor ángel Gregg Bennett, con sede en Seattle, no ha sido resuelto por los investigadores criminales, como se ha hecho con otros casos antes.público en legal limaduras.

En este caso, Bennett presentó una demanda ante el Tribunal Superior del Condado de King, en el estado de Washington, alegando que Bittrex violó sus propios protocolos de seguridad publicados e ignoró los estándares de la industria, perdiendo así la oportunidad de detener el robo de alto riesgo. También alegó que Bittrex no actuó durante el hackeo del 15 de abril de 2019 ni respondió con la suficiente rapidez tras recibir la notificación directa de él.

El examinador legal financiero del regulador del estado de Washington que maneja las quejas de los consumidores, el Departamento de Instituciones Financieras, concluyó que Bittrex no "tomó medidas razonables para responder" al aviso de Bennett y "parece" haber violado sus propios términos de servicio, en una carta firmada con fecha del 30 de agosto de 2019 proporcionada a CoinDesk por Bennett.

Aunque varias entidades legales fueron notificadas sobre el hackeo, aún no han anunciado ningún cargo criminal en el caso y, como tal, se desconoce el paradero del Bitcoin de Bennett.

Respuesta de Bittrex

Bittrex se negó a hacer comentarios específicos sobre el hackeo de Bennett y el caso judicial.

Pero el director ejecutivo Bill Shihara, hablando con CoinDesk sobre otros ataques recientes a tarjetas SIM, dijo que el intercambio tiene una seguridad sólida para evitar violaciones de cuentas, incluida la autenticación de dos factores y la verificación de correo electrónico cuando una dirección IP desconocida inicia sesión en una cuenta.

Estos “obstáculos” podrían generar algunas quejas de los usuarios, dijo, pero “en realidad salvan muchas cuentas de ser pirateadas”.

Pero dado que el correo electrónico de un objetivo también puede ser vulnerado, es mejor nunca confiar en el teléfono como última opción de seguridad: una vez que lo hayan tomado, todo podría ser accesible, dijo:

Creo que este es un problema que requiere muchas soluciones y muchas capas de seguridad. Y, lamentablemente, ONE de los mantras que usamos y sobre el que publicamos a menudo es que, en última instancia, no puedes confiar en tu teléfono. Debes ser consciente de que podrías perder el control de tu teléfono.

El papel de AT&T

Bennett le dijo a CoinDesk que sospecha que su hackeo fue "un trabajo interno", ya que dijo que el PIN de su cuenta e incluso el número de Seguro Social de la cuenta fueron cambiados, lo que implicaría que alguien de la compañía telefónica jugó un papel.

Sin embargo, AT&T no aparece nombrada en la demanda de Bennett, mientras que es el foco de casos similares presentados por Seth Shapiro y Michael Terpin.

Si bien el caso actual de Bennett solo se centra en las fallas de seguridad en Bittrex, dijo que la puerta seguía abierta; AT&T "no escapará de mi ira", afirmó.

Jim Greer, portavoz de AT&T, dijo que sólo podía reiterar sus respuestas anteriores a los ataques a las tarjetas SIM: los clientes deberían evitar confiar en sus teléfonos celulares para su seguridad.

Los intercambios fraudulentos de tarjetas SIM son una forma de robo perpetrada por delincuentes sofisticados. Trabajamos estrechamente con la industria, las fuerzas del orden y los consumidores para detener y prevenir este tipo de delito, afirmó Greer.

Banderas rojas

Bennett dice que Bittrex debería haber sabido que algo extraño estaba ocurriendo.

Los ataques provenían de una dirección IP de Florida y de un sistema operativo NT, dijo, ninguno de los cuales había usado antes; ambas señales, en su mente, de que debería quedar claro que él no era el que accedía a la cuenta.

Bennett alega en la demanda que los hackers finalmente le robaron 100 Bitcoin de su cuenta, el máximo retiro diario permitido. De hecho, tenía una serie de monedas que los hackers vendieron a precios inferiores al mercado, las convirtieron en otros 30 Bitcoin y se las llevaron.

Incluso regresaron al día siguiente por sus 35 Bitcoin restantes, pero para ese momento, Bennett dijo que había logrado que Bittrex cerrara la cuenta y los retiros no autorizados.

La demanda de Bennett alega que Bittrex no Síguenos los estándares de seguridad de la industria en su caso.

Además de la diferente dirección IP y sistema operativo, sus abogados afirmaron que Bittrex también debería haber impuesto una retención de retiro de 24 horas después de los cambios de contraseña, lo que, según él, hacen otros intercambios.

"Lo que critico a Bittrex es su incapacidad para detectar actividades sospechosas obvias", dijo Bennett.

Tarjeta SIMimagen vía Shutterstock